信息安全管理体系(ISMS)

信息安全管理体系是组织整体管理体系的一个部分，是基于风险评估、建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动。企业建立实施信息安全管理体系能助力企业的信息安全管理科学化，有效地对信息资源形成保护，促使信息化进程有序健康可持续地发展。

企业通过信息安全管理体系，可以帮助企业：

·加强信息资产的安全性、保障业务持续性与紧急恢复；

·强化员工的信息安全意识，规范组织信息安全行为；

·减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；

·维护企业声誉、品牌和客户信任，维持竞争优势；

·满足客户和法律法规要求。

建立实施信息安全管理体系路径

企业根据GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》的要求建立实施信息安全管理体系（以下简称ISMS），主要包括六个阶段：

·项目启动

·ISMS现状评估

·信息安全风险管理

·ISMS体系文件编写

·ISMS体系运行

·体系认证审核

各阶段的具体工作内容和成果见下表：

工作阶段

具体工作内容

成果说明

项目启动

访谈调研及基本资料收集

明确调研内容，组织访谈调研；进行基本资料收集

企业关于ISMS的基本资料收集

信息安全管理体系基本知识及标准培训

准备培训内容并进行培训，培训内容包括信息安全管理体系的基本知识及标准解读

现状评估

ISMS现有文件分析

分析企业现有文件哪些包含在ISMS内

确定ISMS体系管理范围

确定信息安全方面的基本管理目标

确定ISMS体系初步框架

资料收集、整理，企业信息安全管理现状分析

设计的管理范围：分析企业的基本信息安全要求，包括企业内外部环境、相关方需求和期望等；

分析企业现状与ISMS的差距。

体系文件规划

规划ISMS体系文件的框架

信息安全风险管理

确定风险评估程序

明确风险评估的方法和过程

资产清册

企业各类资产，包括法人资产、物理资产、信息资产、软件资产、服务资产等；

风险评估报告

通过风险评估：识别资产的重要性、识别资产面临的威胁、识别威胁的脆弱性、分析已有控制措施的有效性、分析信息资产的暴露等级、评估风险的发生容易，依次确定风险值及风险等级，形成风险评估报告。

风险处置计划

针对风险等级的不同，采取不同的处置措施，并形成风险处置计划。

信息资产识别与统计

识别企业的各类信息资产

威胁脆弱性识别与评估

针对以识别的信息资产进行威胁脆弱性识别与评估

完成风险评估报告

根据风险评估的过程和结果完成风险评估报告。

风险处置

确定风险处置程序；

制定风险处置计划。

ISMS体系文件编写

ISMS体系文件编写

编写ISMS体系文件，主要包括方针目标、手册、体系职责、实用性声明、相关程序文件等。

本阶段主要是完成体系文件，体系文件分三级，体系文件的样本（仅作为参考，不同企业根据本企业的实际情况，二级、三级文件可能会有差别）

ISMS体系文件评审与定稿

组织体系文件的内部评审；

根据评审意见进行修改完善。

ISMS体系文件发布

组织体系文件的发布

ISMS体系运行

ISMS内部审核

制定内审方案、计划，组织内审员培训；

开展内审；

根据内审情况进行整改并编制内审报告。

运行过程的记录表单

内审文件资料

管理评审文件资料

ISMS管理评审

制定管理评审方案、计划；

开展管理评审。

ISMS持续改进

针对体系运行过程中发现的问题制定相关改进措施

体系认证

审核准备

提前准备审核需要的相关资料。

通过ISMS认证后能获得证书

一阶段审核

接受审核，并及时进行不符合整改

二阶段审核

不符合项应答和纠正措施

信息安全管理体系的三级文件

一级文件

·信息安全方针与目标；

·信息安全管理手册；

·适用性声明；

·信息安全组织与职责。

二级文件

·信息文件与记录控制程序资产管理程序；

·风险评估管理程序通讯与操作管理程序；

·网络安全防护作业程序访问控制管理程序；

·人力资源管理控制程序信息安全法律法规控制程序；

·信息安全事故管理程序信息交流与沟通控制程序；

·信息物理与环境安全管理程序信息系统获取、开发与维护程序；

·内部审核管理程序管理评审控制程序；

·纠正及预防措施处理程序监视及测量控制程序；

·业务持续性管理程序。

三级文件

·开发安全作业办法信息安全奖励、惩戒管理规定；

·IT设备安全管理办法灾害复原演练计划；

·信息系统操作手册保密管理办法；

·备份介质定期检查和测试记录计算机硬件管理维护表；

·文件发放登记表文件更改申请单；

·资产清册风险评估表；

·风险处理计划表服务器账号/软硬件异动申请单；

·信息系统角色访问权限表信息安全薄弱点报告；

·信息安全奖励、惩戒记录保密承诺书；

·保密协议书对外交流与合作保密协议书；

·员工离职交接单员工离职申请；

·员工入职登记表信息安全纠正及预防措施处理表；

·信息安全纠正及预防措施执行追踪表内部审核检查清单；

·内部审核报告内部审核计划；

·信息安全事件通报单灾害回复计划表；

·紧急事故对应生产持续性管理总体方案。

总结

组织建立和实施ISMS是一个相对的、动态的持续过程，组织应不断改进自身的信息安全状态，调整ISMS体系文件及控制措施，将信息安全风险控制在组织可接受的范围之内，从而获得组织现有条件下和资源能力范围内最大程度的安全。